‘Open’ 버튼 유도...버튼 뒤에는 ISO 파일 숨겨져 실행돼

숨겨진 CHM 파일 실행 시 CMD 통해 악성 파워쉘 명령어 동작

[보안뉴스 김영명 기자] 최근 마이크로소프트(MicroSoft) 원노트(OneNote)로 유포되는 칵봇(Qakbot) 악성코드가 다시 확인됐다. 파일 확산 과정에 윈도(Windows) 도움말 파일(CHM)이 이용되는 것이 포착됐다.

​

▲open 버튼 뒤 숨겨져 있는 악성 파일[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀은 칵봇 악성코드의 다양한 유포 방식을 소개했으며, 2월에는 원노트(OneNote)로 유포되는 칵봇의 유형을 분석하기도 했다. 원노트 파일을 실행하면 마이크로소프트 애저(Azure) 이미지와 함께 ‘Open’ 버튼을 클릭하도록 유도하는 것을 확인할 수 있다. 해당 버튼 위치에는 ISO 파일이 숨어 있어, 사용자가 Open 버튼을 클릭할 경우 임시 경로에 ISO 파일이 생성되며 마운트된다.

ISO 파일 내에는 CHM 파일이 존재하며, README 파일로 위장해 사용자의 실행을 유도한다. 이 CHM 파일을 실행하게 되면 네트워크 연결 구성과 관련된 정상적인 도움말 화면이 생성돼 사용자는 악성 행위를 알아차리기 어렵다.

​

▲CHM 실행화면[자료=안랩 ASEC 분석팀]

이때 사용자 모르게 실행되는 악성 스크립트는 CMD를 통해 악성 파워쉘 명령어를 실행하며 파워쉘 명령어는 인코딩 형태다. 해당 명령어는 기존 CHM 악성코드와 동일하게 Click 메소드를 통해 실행된다.

디코딩된 파워쉘 명령어는 다수의 URL에서 추가 악성 파일을 내려받기를 시도하며, 내려받은 악성 파일은 %TEMP%antepredicamentPersecutory.tuners 경로에 저장한다. 이후 rundll32를 통해 실행하는 것으로 보아 DLL 파일을 추가로 내려받는 것으로 추정된다.

해당 명령어는 지난 4월 PDF를 통해 유포됐던 칵봇에서 사용된 명령어와 유사한 형태로 확인된다. 현재 다운로드 URL에 연결되지 않지만, 내·외부 인프라를 통해 연결이 유효한 당시에 해당 URL에서 칵봇 바이너리를 유포한 정황을 확인할 수 있었다는 게 안랩 ASEC 분석팀의 설명이다.

안랩 ASEC 분석팀 관계자는 “최근 원노트를 악용한 악성코드 유포가 증가하고 있으며, 공격자는 다양한 포맷의 파일을 공격에 이용하고 있다”며 “사용자는 출처가 불분명한 이메일이나 원노트를 열람할 때 해당 파일이 악성코드에 감염됐는지 여부를 먼저 확인하는 등 주의가 필요하다”고 말했다.

[김영명 기자(boan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=117704&page=2&mkind=1&kind=1)]​